加密反黑客指南:多种措施保护好个人资产
本指南无法保证任何内容,并不是从「加密或网络安全专家」的角度编写的,而是基于多个来源和个人经验的不断学习成果。
例如,我自己在刚进入这个领域时就曾因害怕错过(FOMO)和贪婪而受骗(假直播诈骗和假 MEV 机器人诈骗),因此我花时间认真学习、设置和理解安全性。
不要成为那个因为失去一切或大量资产而被迫学习安全的人。
黑客攻击还是用户错误?
所有类型的钱包、代币或 NFT 的「黑客攻击」或妥协大致可分为两类:
滥用先前授予的代币批准。
私钥或助记词泄露(通常发生在热钱包上)。
代币批准
代币批准实际上是允许智能合约访问并移动您钱包中特定类型或数量的代币的权限。
例如:
给予 OpenSea 权限以移动您的 NFT,以便您可以出售它。
给予 Uniswap 权限以使用您的代币进行交换。
作为背景信息,基本上以太坊网络上的一切,除了 ETH,都是 ERC-20 代币。
ERC-20 代币的一个特性是能够授予其他智能合约批准权限。
如果您想进行核心 DeFi 交互(如交换或桥接代币),这些批准在某个时候是必需的。
NFT 分别是 ERC-721 和 ERC-1155 代币;它们的批准机制与 ERC-20 类似,但适用于 NFT 市场。
MetaMask (MM) 的初始代币批准提示提供了几条信息,其中最相关的是:
您正在授予批准的代币
您正在与之互动的网站
您正在与之互动的智能合约
编辑代币权限数量的能力
在完整详情下拉菜单中,我们看到一个额外的信息:批准功能。
所有 ERC-20 代币必须具有 ERC-20 标准所概述的某些特性和属性。
其中之一是智能合约可以根据批准的数量移动代币的能力。
这些批准的危险在于,如果您将代币权限授予恶意智能合约,您的资产可能会被盗或耗尽。